Authentification basée sur les certificats pour RDP

Vous pouvez utiliser SCEPman pour émettre des certificats de connexion par carte à puce à vos utilisateurs. En les inscrivant à Windows Hello for Business (Microsoft Passport Key Storage Provider) ils peuvent utiliser ces certificats pour s’authentifier auprès des ressources sur site à l’aide de leur code PIN Hello ou des options biométriques.

Cela permettra aux utilisateurs, par exemple, de se connecter à d’autres clients via le protocole Bureau à distance (RDP) en utilisant leurs identifiants Windows Hello for Business.

Configurer Active Directory

Exigences

Le certificat CA de SCEPman doit être publié dans le NTAuth magasin pour authentifier les utilisateurs auprès d’Active Directory
Les contrôleurs de domaine doivent disposer d’un certificat de contrôleur de domaine pour authentifier les utilisateurs de carte à puce
Les contrôleurs de domaine et les machines cibles doivent faire confiance à la racine CA de SCEPman

Suivez notre guide sur les certificats de contrôleur de domaine pour publier le certificat racine CA de SCEPman dans le NTAuth magasin et émettre des certificats à vos contrôleurs de domaine :

Certificats Domain Controller

Vous pouvez créer un Objet de stratégie de groupe pour gérer la distribution du certificat racine aux machines concernées : Pour distribuer des certificats aux ordinateurs clients à l’aide de la stratégie de groupe

Le certificat doit être déployé sur tous les contrôleurs de domaine gérant les authentifications ainsi que sur toutes les machines cibles auxquelles les utilisateurs souhaitent se connecter en utilisant cette méthode.

Veuillez noter qu’une fois le certificat racine de SCEPman publié dans le magasin NTAuth, les utilisateurs qui peuvent influencer le contenu des certificats émis par SCEPman (par exemple les administrateurs Intune) sont en mesure de se faire passer pour n’importe quel principal Active Directory.

Déployer les certificats de carte à puce à l’aide d’Intune

Profil de certificat approuvé

Vos clients devront faire confiance au certificat racine de SCEPman.

Si vous utilisez déjà SCEPman pour déployer des certificats sur vos clients, vous aurez déjà ce profil en place.

Certificat de carte à puce

Créez un profil pour Windows 10 et versions ultérieures avec le type certificat SCEP dans Microsoft Intune et configurez le profil comme décrit :

Type de certificat : Utilisateur

Format du nom du sujet : CN={{UserPrincipalName}}

Si le suffixe UPN des utilisateurs ciblés dans Entra ID est différent de celui utilisé dans Active Directory, vous devez utiliser CN={{OnPrem_Distinguished_Name}}

Nom alternatif du sujet : valeur UPN : {{UserPrincipalName}} et valeur URI : {{OnPremisesSecurityIdentifier}}

L’URI avec le SID est nécessaire pour avoir un mappage fort du certificat dans AD. Sinon, vous pouvez configurer SCEPman pour ajouter une extension avec le SID aux certificats utilisateur et ne pas configurer l’URI.

Fournisseur de stockage de clés (KSP) : Inscrire à Windows Hello for Business, sinon échec (Windows 10 et versions ultérieures)

Utilisation de la clé : Signature numérique et Chiffrement de clé

Taille de clé (bits) : 2048

Algorithme de hachage : SHA-2

Certificat racine : Profil de l’étape précédente (Profil de certificat approuvé)

Utilisation étendue de la clé : Authentification du client et Journal de connexion par carte à pucedans

Authentification du client, 1.3.6.1.5.5.7.3.2

Connexion par carte à puce, 1.3.6.1.4.1.311.20.2.2

URL du serveur SCEP : Ouvrez le portail SCEPman et copiez l’URL de Intune MDM

Utiliser Windows Hello for Business pour se connecter à des hôtes distants

Une fois le certificat déployé sur le client d’authentification, il suffit de se connecter à l’hôte distant et de sélectionner le fournisseur d’informations d’identification Windows Hello for Business configuré.

Mis à jour il y a 1 an

Ce contenu vous a-t-il été utile ?